Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe los eventos del tráfico del sistema del módulo de FirePOWER y el diverso método de enviar estos eventos a un servidor de registro externo.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Tipo de eventos
Los eventos del módulo de FirePOWER se pueden categorizar en dos tipos: -
Para configurar a un servidor de Syslog para los eventos del tráfico, navegar a la configuración > a la configuración ASA FirePOWER > a las directivas > a las alertas de las acciones y hacer clic el menú desplegable de la alerta del crear y elegir la opción crea la alerta del Syslog. Ingrese los valores para el servidor de Syslog.
Nombre: Especifique el nombre que identifica únicamente al servidor de Syslog.
Host: Especifique la dirección IP/el nombre de host del servidor de Syslog.
Puerto: Especifique al número del puerto de servidor de Syslog.
Recurso: Seleccione cualquier recurso que se configure en su servidor de Syslog.
Gravedad: Seleccione cualquier gravedad que se configure en su servidor de Syslog.
Etiqueta: Especifique el nombre de la etiqueta que usted quiere aparecer con el mensaje de Syslog.
Para configurar un servidor del SNMP trap para los eventos del tráfico, navegar a la Configuración de ASDM > a la configuración ASA FirePOWER > a las directivas > a las alertas de las acciones y hacer clic el menú desplegable de la alerta del crear y elegir la opción crea la alerta SNMP.
Nombre: Especifique el nombre que identifica únicamente el servidor del SNMP trap.
Servidor del desvío: Especifique la dirección IP/el nombre de host del servidor del SNMP trap.
Versión: Soportes del módulo SNMP v1/v2/v3 de FirePOWER. Seleccione la versión de SNMP del menú desplegable.
Cadena de comunidad: Si usted selecciona el v1 o el v2 en la opción de la versión, especifique el nombre de comunidad SNMP.
Nombre de usuario: Si usted selecciona el v3 en la opción de la versión, el sistema indica el campo de Nombre de usuario. Especifique el nombre de usuario.
Autenticación: Esta opción es una configuración del v3 de la parte de SNMP. Proporciona la autenticación basada en el hash
algoritmo usando los algoritmos MD5 o SHA. En el protocolo el menú de persiana seleccionan el algoritmo de troceo y ingresan
contraseña en la opción de contraseña. Si usted no quiere utilizar esta característica, después no seleccione ninguno opción.
Aislamiento: Esta opción es una configuración del v3 de la parte de SNMP. Proporciona el cifrado usando el algoritmo DES. En el menú del descenso del protocolo seleccione la opción como DES& ingresan la contraseña en el campo de contraseña. Si usted no quiere utilizar la función de encripción de datos, después no elija ninguno opción.
Se generan los eventos de conexión cuando el tráfico golpea una regla de acceso con el registro habilitado. Para habilitar el registro externo para los eventos de conexión, navegue a (Configuración de ASDM > configuración ASA FirePOWER > las directivas > directiva del control de acceso) editan la regla de acceso y navegan a la opción de registro.
Seleccione el registro de la opción de registro al principio y al extremo de la conexión o el registro en el extremo de la conexión. Navegue para enviar los eventos de conexión a la opción y para especificar donde enviar los eventos.
Para enviar los eventos a un servidor Syslog externo, a un Syslog selecto, y después seleccionar una respuesta de la alerta del Syslog de la lista desplegable. Opcionalmente, usted puede agregar una respuesta de la alerta del Syslog haciendo clic el icono del agregar.
Para enviar los eventos de conexión a un servidor del SNMP trap, a un SNMP trap selecto, y después seleccionar una respuesta de la alerta SNMP de la lista desplegable. Opcionalmente, usted puede agregar una respuesta de la alerta SNMP haciendo clic el icono del agregar.
Se generan los eventos de la intrusión cuando una firma (reglas del snort) hace juego un cierto tráfico malévolo. Para habilitar el registro externo para los eventos de la intrusión, navegue a la Configuración de ASDM > a la configuración ASA FirePOWER > a la directiva de la intrusión de Policies> > a la directiva de la intrusión. Cree una nueva directiva de la intrusión o edite la intrusión existente Policy.Navigate a la configuración avanzada > las respuestas externas.
Para enviar los eventos de la intrusión a un servidor SNMP externo, seleccione la opción habilitada en el SNMP alertando y después haga clic la opción del editar.
Tipo de trampa: Utilizan al tipo de trampa para los IP Addresses que aparece en las alertas. Si su sistema de administración de red rinde correctamente el tipo de dirección INET_IPV4, después usted puede seleccionar como binario. Si no, seleccione como cadena.
Versión de SNMP: Seleccione el botón de radio de la versión 2 o de la versión 3.
Opción del v2 SNMP
Servidor del desvío: Especifique la dirección IP/el nombre de host del servidor del SNMP trap, tal y como se muestra en de esta imagen.
Cadena de comunidad: Especifique el nombre de la comunidad.
Opción del v3 SNMP
Servidor del desvío: Especifique la dirección IP/el nombre de host del servidor del SNMP trap, tal y como se muestra en de esta imagen.
Contraseña de autenticación: Specifypassword requirió para la autenticación. El v3 SNMP utiliza la función de troceo para autenticar la contraseña.
Contraseña privada: Especifique la contraseña para el cifrado. El v3 SNMP utiliza el cifrado en bloque del Data Encryption Standard (DES) para cifrar esta contraseña.
Nombre de usuario: Especifique el nombre de usuario.
Para enviar los eventos de la intrusión a un servidor Syslog externo, la opción selecta habilitada en el Syslog entonces alertando hace clic la opción del editar, tal y como se muestra en de esta imagen.
Host de registro: Especifique la dirección IP/el nombre de host del servidor de Syslog.
Recurso: Seleccione cualquier recurso que se configure en su servidor de Syslog.
Gravedad: Seleccione cualquier gravedad que se configure en su servidor de Syslog.
Se generan los eventos de la inteligencia de Seguridad de la Seguridad Intelligence/URL de la seguridad IP Intelligence/DNS cuando el tráfico hace juego cualquier base de datos de la dirección IP/de la inteligencia de Seguridad del Domain Name /URL. Para habilitar el registro externo para los eventos de la inteligencia de Seguridad IP URL/DNS, navegue a (Configuración de ASDM > configuración ASA FirePOWER > las directivas > la inteligencia del > Security (Seguridad) de la directiva del control de acceso),
Haga clic el icono tal y como se muestra en de la imagen para habilitar el registro para la inteligencia de Seguridad IP/DNS/URL. Hacer clic el icono indica a un cuadro de diálogo que permita al registro y a la opción para enviar los eventos al servidor externo.
Para enviar los eventos a un servidor Syslog externo, a un Syslog selecto, y después seleccionar una respuesta de la alerta del Syslog de la lista desplegable. Opcionalmente, usted puede agregar una respuesta de la alerta del Syslog haciendo clic el icono del agregar.
Para enviar los eventos de conexión a un servidor del SNMP trap, a un SNMP trap selecto, y después seleccionar una respuesta de la alerta SNMP de la lista desplegable. Opcionalmente, usted puede agregar una respuesta de la alerta SNMP haciendo clic el icono del agregar.
Se generan los eventos SSL cuando el tráfico hace juego cualquier regla en la directiva SSL, en la cual se habilita el registro. Para habilitar el registro externo para el tráfico SSL, navegue a la Configuración de ASDM > a la configuración > a las directivas > al SSL ASA FirePOWER. Edite la existencia o cree una nueva regla y navegue a la opción de registro. Seleccione el registro en el final de la opción de conexión.
Entonces navegue para enviar los eventos de conexión a y para especificar donde enviar los eventos.
Para enviar los eventos a un servidor Syslog externo, a un Syslog selecto, y después seleccionar una respuesta de la alerta del Syslog de la lista desplegable. Opcionalmente, usted puede agregar una respuesta de la alerta del Syslog haciendo clic el icono del agregar.
Para enviar los eventos de conexión a un servidor del SNMP trap, a un SNMP trap selecto, y después seleccionar una respuesta de la alerta SNMP de la lista desplegable. Opcionalmente, usted puede agregar una respuesta de la alerta SNMP haciendo clic el icono del agregar.
Los eventos del sistema muestran el estatus del sistema operativo de FirePOWER. El SNMP Manager puede ser utilizado para sondear estos eventos de sistemas.
Para configurar al servidor SNMP para sondear los eventos del sistema del módulo de FirePOWER, usted necesita configurar una política del sistema que haga la información disponible en firePOWER MIB (Management Information Base) que se puedan sondear por el servidor SNMP.
Navegue a la Configuración de ASDM > a la configuración > al Local > a la política del sistema ASA FirePOWER y haga clic el SNMP.
Versión de SNMP: Soportes del módulo SNMP v1/v2/v3 de FirePOWER. Especifique la versión de SNMP.
Cadena de comunidad: Si usted selecciona el v2 v1/ en la opción de la versión de SNMP, teclee el nombre de comunidad SNMP en el campo de la cadena de comunidad.
Nombre de usuario: Si usted selecciona la opción del v3 en la opción de la versión. Haga clic el botón del usuario del agregar y especifique el nombre de usuario en el campo de nombre de usuario.
Autenticación: Esta opción es una configuración del v3 de la parte de SNMP. Proporciona la autenticación basada en el Message Authentication Code desmenuzado usando los algoritmos MD5 o SHA. Elija el protocolo para el algoritmo de troceo y ingrese la contraseña
en el campo de contraseña. Si usted no quiere utilizar la característica de autenticación después no seleccione ninguno opción.
Aislamiento: Esta opción es una configuración del v3 de la parte de SNMP. Proporciona el cifrado usando el algoritmo DES/AES. Seleccione el protocolo para el cifrado y ingrese la contraseña en el campo de contraseña. Si usted no quiere la función de encripción de datos después no elija ninguno opción.
Note: Una Base de información para administración (MIB) (MIB) es una Recolección de información que se ordena jerárquico. El archivo MIB (DCEALERT.MIB) para el módulo de FirePOWER está disponible en la ubicación del directorio (/etc/sf/DCEALERT.MIB) que se puede traer de esta ubicación del directorio.
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.